APT37のスピアフィッシング攻撃キャンペーン、RoKRATで韓国の活動家を標的に

nosa

2025.05.16

ウィークリー・サイバーラウンド・アップ

APT37のスピアフィッシング攻撃キャンペーン、RoKRATで韓国の活動家を標的に

Genians – May 12, 2025

Geniansの研究者により、「Operation ToyBox Story」と名付けられたスピアフィッシング攻撃キャンペーンの詳細が明らかにされた。このキャンペーンは北朝鮮と関連のある高度持続的脅威グループ「APT37」によるものとされ、韓国を拠点とする活動家にRoKRATを配布している。EメールにはDropboxへのリンクが含まれており、有害なLNKファイルを含む圧縮アーカイブに被害者を誘導。このLNKファイルで「toy」という単語を含むマルウェアが動き出す。最初の攻撃は2025年3月8日に観測され、同11日にさらなる攻撃が発生した。LNKファイルを実行することでおとりのHWPファイルが起動され、3つの隠しファイルを作成してからBATファイルを実行。BATファイル内のPowerShellがDATファイルを読み込み、このDATファイルが別のDATファイルを読み込むと、RoKRATのシェルコードを含むPEファイルが最終的に配信される。 RoKRATは感染したホストからシステム情報を収集した後、コアとなる有害なルーチンをWinMain経由で実行する。

偽のAIツールがNoodlophile Stealerを拡散、データ収集とXWormの展開を行う

Morphisec – May 8, 2025

Noodlophile Stealerと呼ばれる新型のインフォスティーラーを配布するキャンペーンについて、Morphisecの研究者が詳細を明らかにした。このキャンペーンは無料AIツールを宣伝するカスタムAI関連の偽プラットフォームを活用し、インフォスティーラーの拡散を行っている。脅威アクターは詐欺には見えないFacebookグループやその他のソーシャルメディアを介して、自らのAIプラットフォームを宣伝。インストールされたNoodlophileはブラウザに保存された認証情報や仮想通貨ウォレット、機微情報を収集するほか、多くの場合、感染したシステムをより深く制御する目的でXWormのようなリモートアクセス型トロイの木馬を展開する際に使用される。前述の欺瞞的なFacebookグループは訪問者に対し、AIを活用したコンテンツ生成を行う偽サイトにリダイレクトするリンクをクリックするよう促し、そのサイトでAIによる編集を行うための画像や動画をアップロードさせる。その後、「処理済み」コンテンツをダウンロードする準備ができたと表示されるが、実際にはNoodlophileに加え、多くのケースでXWormがシステムにダウンロードされる。盗んだ情報の抽出にはTelegramボットが使われている。

給与・人事・福利厚生プラットフォームを装うフィッシングキャンペーン

Malwarebytes – May 8, 2025

2024年7月から継続中と思われるフィッシングキャンペーンをMalwarebytesの研究者が発見した。同キャンペーンは給与・人事（HR）または福利厚生関連の偽プラットフォームを介して銀行情報や資金を窃取するもので、研究者チームが2025年4月中旬にHR企業Deelの有害なGoogle検索広告を発見したことで初めて検出された。この広告は同社を装ったフィッシングサイトに被害者をリダイレクトさせ、そのフィッシングページでログイン認証情報の入力を要求。続いて被害者のメールアドレスに送信されたセキュリティコードを入力させ、2要素認証を回避する。このキャンペーンでは認証情報の窃取に加え、電子送金詐欺を目的とした新たなフィッシングキットが使用されている。完全に認証されたWeb Workerを使うこのフィッシングキットは、銀行や金銭関連情報などの機微データフィールドを操作する目的で正当にホストされたWebサービス「Pusher」を利用する。

Meta Mirageフィッシングキャンペーン、Meta Business SuiteからデータとブラウザCookieを窃取

CTM360 – May 12, 2025

CTM360の研究者が「Meta Mirage」と呼ばれる世界的なフィッシングオペレーションを発見した。これは独自のフィッシングテンプレートを悪用したオペレーションで、Meta Business Suiteユーザーの高価値なビジネス資産の侵害を目的としている。確認されたテンプレートは合わせて24件あり、それぞれが特定のMetaの通信を模倣し、被害者を騙して認証情報やセッションCookie、個人情報を盗み出す。フィッシングURLは14,000件以上確認され、特定されたアクティブなURLの78％はいまだにブロックされていない。EメールまたはMeta Messengerで配信されるメッセージには、被害者を特定のフィッシングページへリダイレクトさせるリンクが含まれる。攻撃者はユーザーに個人情報、Facebookアカウントのパスワード、ワンタイムパスワードを入力させた後、一連の偽エラーメッセージを表示して情報の再入力を要求する。ブラウザCookieの収集には別の手法が使われ、フィッシングキットの展開にはVercel、GitHub Pages、Netlifyなど14のホスティングプラットフォームが悪用されている。

DataCloudスティーラーを配布する攻撃チェーン　フィッシングメールとAutoltを活用

Palo Alto Unit 42 – May 14, 2025

2025年1月、パロアルトネットワークUnit42の研究者がDataCloudスティーラーを使用する一連の攻撃を特定した。この攻撃ではAutoltが検出回避を担い、ファイル共有サーバーがマルウェアをホストする。最も攻撃されている国は米国とブラジルで、連邦政府や州政府、地方自治体の機関を主な標的としているが、ほかにもハイテク・金融・製造・メディア・エンタメといった業界を攻撃していることが確認されている。攻撃チェーンはRARアーカイブまたはPDFファイルが添付されたフィッシングメールから始まる。このPDFはAdobe Flash Playerのバージョンが古いことを通知するポップアップメッセージを表示し、ファイル共有サービスからアップデート版を装ったRARアーカイブをダウンロードするように促す。このRARアーカイブには悪意のあるAutoltでコンパイルされたPEファイルが含まれており、ここにAutoltスクリプトと2つの暗号化されたデータファイル（1つは暗号化されたシェルコード、もう1つはXOR暗号化されたペイロード）が組み込まれている。このAutoltスクリプトは、2つのデータファイルから最終的にDarkCloudスティーラーのペイロードを構築し、実行する。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。